APT und gezielte Angriffe
Widerstandsfähigkeit gegen Cloud-Bedrohungen, Teil 3
Sicherheit in unserem komplexen digitalen Zeitalter stellt Anwender vor große Herausforderungen. Wir befassen uns diesmal mit den Bedrohungen, gegen die CTI zu schützen sind, Probleme mit umgebungsübergreifenden Angriffen und Edge-Computing.
Save to Folio
Ein Blick auf die Cybersicherheitslandschaft 2024 zeigt, dass wir durch ein komplexes digitales Zeitalter navigieren, das mit noch nie dagewesenen Herausforderungen verbunden ist. Gefahren der Datenverfälschung in Modellen für maschinelles Lernen bis hin zur API-Sicherheit und Side Channel-Angriffe, Bedrohungen durch Fehlkonfigurationen von Cloud Services, Identitätsangriffe sowie solche auch die Supply Chain haben wir bereits dargestellt.
Damit nicht genug, werden SOC-/IR-Teams es schwer haben, die Cloud vor Bedrohungen für Computer-Telefonie-Integration (CTI) zu bewahren. Zudem starten Angreifer immer breiter angelegte Attacken von On-Premise-Umgebungen über die Cloud hinweg und wählen auch Edge-Geräte als Einstiegspunkt in die Systeme.
Für SOC/IR-Teams wird es schwierig, CTI vor Cloud-Bedrohungen zu bewahren.
Die Probleme bezüglich der Computer-Telefonie-Integration (CTI) für die Cloud unterscheiden sich deutlich von den herkömmlichen Gefahren. Ähnlich wie die traditionelle Sicherheit für die Cloud nicht funktioniert, ist auch die bisherige CTI nicht direkt anwendbar. Die Nachfrage nach CTI für die Cloud wird steigen. Dies wird vielfältige Innovationen von Sicherheitsanbietern, Incident-Response-Teams und Standardisierungsorganisationen erfordern - sogar CTI-Tools werden sich weiterentwickeln müssen.
Cloud-Dienste werden auf kreative Weise missbraucht. So wurden beispielsweise Cobalt Strike-Konfigurationen von JPCERT mithilfe von Azure-Funktions-Apps übernommen, Infostealer missbrauchten GitHub Codespaces-URLs zur Datenexfiltration und die 3CX-Ransomware nutzte GitHub zum Abrufen von C2-Informationen. SOC- und IR-Teams könnten Unbekanntes übersehen. Herkömmliche Lösungen, die auf IP-Reputation basieren, würden sie beispielsweise nicht als bösartig einstufen, wenn sie nicht bekannt sind.
Warum ist die Sichtbarkeit von Cloud-APIs aus Sicht der CTI erforderlich? Wenn nicht die Cloud-Anbieter die von ihnen bereitgestellten APIs klar und öffentlich machen, ist es für den Endbenutzer fast unmöglich, zu wissen, was in seiner Umgebung passiert. So gab es beispielsweise bei AWS Cloud-Schwachstellen, die auf undokumentierte öffentliche APIs zurückzuführen waren, die von Bedrohungsakteuren ausgenutzt werden konnten, wodurch Fälle einer vollständigen Kompromittierung der Elastic Container Registry (ECR) bis hin zum kontoübergreifenden Zugriff möglich waren.
Angriffe, die von On-Premise bis zur Cloud oder über Clouds hinweg reichen, bleiben länger unentdeckt als On-Premise-Angriffe.
Steigende Verbreitung von Hybride und Multi-Cloud-Umgebungen bringt große Herausforderungen für die Cybersicherheit mit sich. In diesen Umgebungen mischen sich lokale Systeme mit Cloud-Diensten, was die Sicherheit noch komplizierter macht. Die Erkennung von Angriffen, die von On-Premise-Systemen in die Cloud oder über verschiedene Clouds hinweg erfolgen, ist schwieriger und dauert länger.
Ein Hauptproblem besteht darin, dass verschiedene Teile dieser Systeme oft ihre eigenen Sicherheitsrichtlinien und Arten des Monitorings haben, die in der Regel von verschiedenen Teams durchgeführt werden. Dies kann zu blinden Flecken führen, in denen es schwierig ist, ungewöhnliche oder schädliche Aktivitäten zu erkennen, zu korrelieren und darauf zu reagieren.
In hybriden und Multi-Cloud-Systemen können Angreifer länger im Verborgenen agieren, sich bewegen und auf wichtige Daten oder Systeme zugreifen. Herkömmliche Sicherheitsansätze, wie die Bewachung des Netzwerk-Edge, funktionieren nicht mehr so gut, weil nicht mehr klar ist, wo sich der befindet.
Um diese Herausforderungen zu bewältigen, müssen Sicherheitsanalysten einen kohärenteren Ansatz wählen, so dass dieselben Sicherheitstools und -regeln sowohl in On-Premise als auch in Cloud-Umgebungen verwendet werden müssen. Managed Detection and Response-Dienste (MDR) können hier eine große Hilfe sein, da sie eine einheitliche Sicht und automatisierte Reaktionen über verschiedene Umgebungen hinweg ermöglichen.
Wichtig ist auch, nicht automatisch jeder Zugriffsanfrage zu vertrauen, unabhängig davon, woher sie kommt. Dies wird als Zero-Trust-Modell bezeichnet. Es bedeutet, dass jede Zugriffsanfrage sorgfältig geprüft wird, unabhängig davon, ob sie von innerhalb des Unternehmens oder von einem Cloud-Dienst kommt.
Wir müssen unsere Sicherheitsstrategien dahingehend ändern, dass sie integrierter, automatisierter und vorsichtiger werden, um vor diesen fortschrittlichen Bedrohungen geschützt zu sein.
Durch Cloud-Technologien unterstütztes Edge-Computing wird zu einem neuen "Einstiegspunkt" für Angriffe in die Cloud.
Edge-Computing, das im Backend häufig Cloud-Technologien nutzt, entwickelt sich gerade zu einem entscheidenden Punkt für Cyberangriffe. Dieser Wandel wird durch die zunehmende Nutzung von Cloud-nativen Lösungen für verschiedene Geräte und Systeme vorangetrieben.
Edge-Geräte, die sich an vorderster Front der Datenerfassung und -verarbeitung befinden, stellen neue Herausforderungen für die Sicherheit dar. Derzeit konzentrieren sich Edge-Geräte-Angriffe auf die Ausnutzung der Geräteressourcen, z. B. indem ein IoT-Gerät infiziert und Teil eines Botnets wird. Da diese Geräte jedoch zunehmend mit Cloud-Diensten verbunden und von diesen abhängig sind, werden sie zu Gateways für umfassendere Netzwerkeinbrüche.
Diese Verlagerung des Schwerpunkts vom Diebstahl der Ressourcen der Edge-Geräte auf ihre Rolle als Zugangspunkt zu größeren Netzwerken stellt eine bedeutende Entwicklung in der Cloud-Sicherheitslandschaft dar.
Die Gefährdung der Cloud durch Edge-Computing-Angriffe ist auch auf die unvollständige oder fehlende Umsetzung des Zero-Trust-Modells in Cloud-Diensten zurückzuführen. Bei Zero Trust geht es darum, niemals automatisch einem Benutzer oder Gerät innerhalb oder außerhalb des Netzes zu vertrauen, sondern stattdessen bei jedem Schritt eine Überprüfung zu verlangen. Wenn dieses Modell nicht vollständig umgesetzt wird, entstehen Sicherheitslücken, die Angreifer ausnutzen und die Edge-Geräte als Einstiegspunkte in Cloud- und Hybrid-Cloud-Netzwerke sehen. Dieses Risiko wächst mit der Vielfalt und der oft weniger sicheren Natur von Edge-Geräten, die von Fahrzeugen, IoT-Geräten, PoS-Verkaufsstellen und anderen reichen.
Schlussfolgerung
Die vielschichtige Natur moderner Cyberbedrohungen, von den heimlichen Gefahren der Datenvergiftung in ML-Modellen über die Komplexität der Sicherung von APIs, Gefahren durch Fehlkonfigurationen von Cloud Services, Identitätsangriffe sowie Bedrohungen der Supply Chain bis hin zu Edge-Geräten und CTI-Problemen, erfordert einen ganzheitlichen und proaktiven Ansatz.
In diesem dynamischen Umfeld ist die Fähigkeit, Bedrohungen vorherzusehen, sich anzupassen und auf sie zu reagieren, der Schlüssel zur Aufrechterhaltung der Sicherheit und Integrität der digitalen Welt. Der Weg ist komplex, aber mit einem einheitlichen Ansatz für die Cybersicherheit lassen sich diese Herausforderungen meistern und Anwender werden gestärkt und widerstandsfähiger daraus hervorgehen.